這些銀行裡的個人金融資訊“漏洞”該咋堵?
5月9日,銀保監會消費者權益保護局釋出通報:2020年3月,中信銀行在未經客戶本人授權的情況下,向第三方提供個人銀行賬戶交易明細,違背為存款人保密的原則,涉嫌違法違規,將按照相關法律法規,對中信銀行啟動立案調查程式,嚴格依法依規進行查處。
給錢就能“拉銀行流水”嗎?銀行等金融機構中仍存哪些個人資訊保護漏洞?應如何堵住?新華社記者對此展開調查。
記者體驗:“付錢拉銀行流水”有真有假
記者調查發現,當前一些網路平臺個人“銀行流水”資訊的售價從600元至5000元不等,查詢時段為1個月至12個月,時段越長價格越高,買家只需要提供查詢物件身份證號碼就能查詢。
QQ名為“楊大”的賣家告訴記者,被販賣的各種個人資訊中,“銀行流水”等金融資訊最值錢。他表示,做這行的都得在銀行等金融機構裡“有人”。
記者查詢中國裁判文書網發現,銀行“內鬼”參與倒賣個人金融資訊的情況並不少見:中行無錫分行職工唐某某利用工作便利,將該單位在提供服務過程中獲得的5萬餘條公民個人資訊,透過電子郵件非法提供給他人;建行餘姚城建支行原行長沈某某,將該行受理的貸款客戶財產資訊共計127條提供給他人用於招攬業務。
記者還發現,由於賣家大多要求“先付款後查詢”,也有不少所謂“偵探公司”藉此詐財。
名為“百勝私家偵探公司”的賣家向記者開價600元表示可查某股份制銀行客戶的資訊。記者支付部分定金後,賣家表示40分鐘左右會將會發來相關流水資訊。約25分鐘後,記者發現自己被該賣家“拉黑”。
銀行中仍存個人金融資訊保護漏洞
據瞭解,2016年以來,有關部門發現並通報一大批涉及金融等重點行業資訊系統及安全監管漏洞,抓獲各行業內部涉嫌違規人員3000餘名。但記者調查發現,當前銀行等金融機構中仍存一些隱患值得警惕。
——為“拉客戶”“衝業績”違規洩露使用者資訊成部分銀行“潛規則”。浙江某農村信用社的一線櫃員小張告訴記者,銀行內部只有一線櫃員有許可權查詢客戶流水及其他資訊,且查詢時需其他員工共同授權,系統會自動留痕。
“但如果行長級別的領導以業務需要為名要求查詢匯出某客戶流水,櫃員往往難以拒絕。為‘籠絡大客戶’,而幫其私拉他人流水,這在一些銀行也不是秘密。”小張說。
——銀行內控漏洞致用戶資訊流進“黑市”。曾在廣州某銀行任職一線櫃員的周女士透露,其所在銀行的櫃員可以隨意檢視客戶半年內交易流水,無需授權。
記者還了解到,目前部分銀行對記錄客戶資訊的紙質資料保護不足,未能及時銷燬或失控流出的現象時有發生。部分已“上雲”的資料,也存在因操作規範執行、監督不嚴而導致資訊洩露風險大增情況。
——部分銀行App涉嫌過度索權致洩露資訊風險上升。記者隨機測試了多款銀行App,發現其中多家存在不同程度“誘導”使用者授權獲取手機資訊許可權,如不同意其隱私條款則不能繼續使用。其中中信銀行、中國工商銀行等建議使用者同意讀取撥打電話及通話管理,照片、媒體內容及檔案,獲取位置資訊等資訊,否則相關功能將無法使用。
北京師範大學網路法治國際中心高階研究員臧雷表示,根據相關國家標準,金融借貸類App可以獲取的最小許可權範圍為儲存許可權。機構應儘量遵循最小索權原則,儘量不因儲存許可權之外的許可權影響使用者使用App的關鍵功能。
某銀行風控部門工作人員向記者透露,目前大多數銀行App都涉及技術外包合作方,儘管在遴選時對合作企業背景、安全性有一定考量,但合作企業部分員工洩露資訊的風險仍然不小。
強化保護急需提升“法律+技術”防護力
如何才能堵上銀行等金融機構中的個人資訊保安漏洞?中國人民銀行某省級分行工作人員建議,對於問題較為嚴重的銀行應追究其法律責任,不能僅“內部處理”了事。
專家表示,當前我國已有部分法律法規規範性檔案涉及個人金融資訊的刑事保護、內控制度保護和技術規範,且相關立法仍在推進中。
2月,央行和全國金融標準化技術委員會發布了個人金融資訊保護技術規範,對金融業機構的個人金融資訊保護提出了規範性要求。《個人金融資訊(資料)保護試行辦法》也將在徵求意見結束後正式對外發布。
2019年12月釋出的《中國人民銀行金融消費者權益保護實施辦法(徵求意見稿)》要求金融機構應當建立健全消費者金融資訊保護機制。
2017年5月,兩高發布了關於辦理侵犯公民個人資訊刑事案件的相關司法解釋,非法獲取、出售或者提供財產資訊50條以上的屬“侵犯公民個人資訊罪”“情節嚴重”,“處三年以下有期徒刑或者拘役,並處或者單處罰金”。
北京師範大學法學院數字經濟與法律研究中心主任汪慶華表示,目前的個人資訊侵權民事救濟機制仍然著眼於彌補實際損失,難以對故意侵權者在法律上形成有力約束。建議對非法披露他人資訊、故意侵害他人資訊權利的行為設定最低賠償金額,加大懲罰力度。
上海段和段律師事務所律師劉春泉建議,應督促銀行篩查自身和第三方合作公司在個人金融資訊採集、傳輸、維護、留痕的全流程管理中,可能出現的洩露風險點,及時更新防火牆、身份認證系統、數字簽名等安全監控技術,防止因不規範操作洩露或惡意竊取等內部人作案。
來源:工人日報